- 1、本文档共129页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
ISO/IECJTC1SC27
信息技术网络安全与隐私保护信息安全控制
ISO/IEC27002:2022
(中文版0-5部分)
翻译:闲庭信步
2022年7月
前言
ISO(国际标准化组织)和IEC(国际电工委员会)构成了全球标准化的专门系统。属于ISO或
IEC的国家机构通过各自组织成立的技术委员会参与国际标准的制定,以处理特定的技术
活动领域。ISO和IEC技术委员会在共同感兴趣的领域进行合作。其他与ISO和IEC联络的
政府和非政府国际组织也参加了这项工作。在信息技术领域,ISO和IEC建立了联合技术
委员会ISO/IECJTC1。
ISO/IEC指令第1部分中描述了用于开发本文档的过程以及打算进一步维护的过程。特别
是,应注意不同类型文档所需的不同批准标准。本文档是根据ISO/IEC指令第2部分的编
辑规则起草的(请参见/directives)。
请注意,本文档的某些内容可能是专利权的主题。ISO和IEC对识别任何或所有此类专利
权概不负责。在文档开发过程中确定的任何专利权的详细信息将在“简介”和/或ISO收到的
专利声明清单中(请参见/patents)。
本文档中使用的任何产品名称都是为了方便用户而提供的信息,并不构成对本产品的认
可。
有关标准的自愿性质的解释,与合格评定有关的ISO特定术语和表达的含义,以及有关
ISO遵守《技术性贸易壁垒(TBT)中的世界贸易组织(WTO)原则》的信息,请参见
/iso/foreword.html。
本文档由ISO/IECJTC1技术委员会,信息技术,SC27小组,信息安全,网络安全和隐
私保护委员会编写。
第三版取消并替代了经过技术修订的第二版(ISO/IEC27002:2013+Corr1:2014+Corr2
:2015)。
与上一版本相比的主要变化如下:
“实务守则”一词已从本文件的标题中删除,以更好地反映其作为一套信息安全控制参考的
目的。这不是目的的改变。ISO/IEC27002的意图一直是帮助组织确保不忽视任何必要的
控制。无论本文档的预期用途如何,此目的都是相同的(见第1条)。尽管有这一声明,但
对个别控制的指导是基于国际公认的最佳做法。
作为参考集的目的是通过确保全面涵盖可以描述信息安全控制的各种方式来实现的。根
据设计,这会导致0.3中提到的重叠和重复。因此,文档的限制已更改,使用简单的分类
和关联的属性显示控件。
一些控件已合并,一些已删除,并引入了几个新控件。完整的信息可在附件A、附件B中
找到。有关本文档的任何反馈或问题应直接提交给用户的国家标准机构。这些机构的完
整清单可在以下网址查阅:/members.html。
0介绍
0.1背景和环境
本文档适用于各种类型和规模的组织,可以用作确定和实施基于ISO/IEC27001的信息安
全管理系统(ISMS)中信息安全风险处理控制的参考。组织确定和实施公认的信息安全控
制措施的指导文件。考虑到其特定的信息安全风险环境,本文档还打算用于开发行业和
特定于组织的信息安全管理指南。可以通过风险评估来确定除本文档中所包含的组织或
环境以外的组织特定控制措施以修改风险。
各种类型和规模的组织(包括公共和私营部门,商业和非营利组织)以多种形式创建,收
集,处理,存储,传输和处置信息,包括电子形式,物理形式和口头表达(例如对话和演
示)。
信息的价值超越了文字,数字和图像:知识,概念,思想和品牌是无形信息形式的示
例。在相互联系的世界中,信息和其他关联资产(如其他重要的商业利益)应受到保护或要
求保护免受各种自然,偶然或故意的风险来源的侵害。
0.2信息安全需求
组织确定其安全性要求至关重要。安全性要求有三个主要来源:
a)评估组织的风险,并考虑组织的整体业务战略和目标。可以通过信息安全特定的风险
评估来促进或支持这一点。这应导致确定必要的控制措施,以确保组织的剩余风险满足
其风险接受标准;
b)组织及其利益相关方(交易伙伴,服务提供商等)必须遵守的法律,法规,规范和合同
要求及其社会文化环境;
c)组织为支持其运营而开发的信息生命周期的所有步骤的一组原则,目标和业务要求。
注:ISO/IEC27005提供了信息安全风险管理指南,包括有关风险评估,风险
您可能关注的文档
- ISO27001-2022 信息安全管理体系中文版.docx
- 01信息安全风险管理程序.doc
- 02 文件控制程序.doc
- 03 持续改进控制程序.doc
- 工法培训课件.pptx
- 主体工程防水质量责任与落实.docx
- HDPE管道施工方案.docx
- 技术质量培训习题.docx
- 地下室渗漏防治.docx
- 2024年广东省韶关市乳源瑶族自治县数学九上开学教学质量检测试题【含答案】.doc
- 计及电动汽车移动储能动态电价的微电网优化调度研究及解决方案.pdf
- 浅谈电动汽车充电桩绝缘智能化自检装置的设计与应用 .pdf
- 浅谈电动汽车公共充电桩布局方案评价方法.pdf
- 浅谈基于弹性响应的电动汽车快充电价定价策略 汽车充电桩有序充电.pdf
- 浅谈光储充一体化社区的有序充电策略及解决方案.pdf
- 晚期肾透明细胞癌系统性治疗中国专家共识(2024版).pptx
- 中国膀胱癌保膀胱治疗多学科诊治协作共识(2022版).pptx
- 成人心血管外科手术体外循环患者血液管理指南.pptx
- 下尿路修复重建移植物应用规范中国专家共识.pptx
- 中国儿童急性非静脉曲张性上消化道出血诊治指南(2024).pptx
文档评论(0)